Перевод статьи подготовлен специально для студентов курса «Безопасность Linux».
OSSIM (Open Source Security Information Management) — это проект с открытым исходным кодом от Alienvault, который обеспечивает функционал SIEM (Security information and event management). Он обеспечивает следующие функции SIEM, требующиеся специалистам по безопасности.
- Сбор событий
- Нормализация
- Корреляция
OSSIM — это унифицированная платформа, предоставляющая фундаментальные средства безопасности. В платформу OSSIM встроены многие признанные программные обеспечения с открытым исходным кодом. Она продолжает быть самым быстрым способом сделать первые шаги к видимости единой безопасности.
Платформа OSSIM поддерживает следующие программы/плагины с открытым исходным кодом:
- Apache
- IIS
- Syslog
- Ossec
- Snare
- Snort
- OpenVAS
- Nessus
- Nagios
- Ntop
- Nmap
Установка OSSIM
Загрузите ISO-образ с AlienVault и установите его в виртуальной машине. В этом руководстве вместо физического сервера мы установим OSSIM на виртуальную машину, которая имеет следующие спецификации:
Она имеет два интерфейса, один для управления сервером и второй для сбора логов и мониторинга сетевых устройств. Детали виртуальной машины приведены ниже.
Процессор: 2 VCPU, ОЗУ: 2 ГБ, Размер жесткого диска: 8 ГБ, IP-адрес управления: 192.168.1.150/24 и сеть устройств: 192.168.0.0/24
Когда виртуальная машина OSSIM загружается с ISO-образом, в мастере установки отображаются следующие два параметра.
На рисунке выше выделен вариант, который будет устанавливать OSSIM на этой виртуальной машине. Нажмите ввод, чтобы начать процесс установки. Выберите язык, местоположение и настройки клавиатуры в следующих шагах.
Конфигурация сети
На этом этапе настройте сеть виртуальной машины OSSIM. Для управления мы используем eth0, а остальная сеть подключена к eth1. Конфигурация сети для eth0 показана ниже.
Настройка root-пользователя
После настройки сети в следующих окнах запрашивается пароль root-пользователя, который может получить доступ к CLI сервера OSSIM. Пароль root-пользователя должен быть надежным.
Настройка часового пояса
Информация о часовом поясе важна для системы логов. Она приведена ниже.
После настройки часового пояса мастер автоматически выполнит шаг раздела пространства и начнет установку базовой системы. Этот шаг займет примерно 15-20 минут.
Завершающий этап установки показан на следующем рисунке.
После завершения установки AlienVault OSSIM появится следующая подсказка Windows. Мы можем получить доступ к веб-интерфейсу, используя следующий URL:
https://192.168.1.150/
Авторизуемся с логином root и паролем test в CLI сервера OSSIM.
Последний браузер Mozilla Firefox не открывает ссылку, поэтому используйте браузер Chrome или IE для доступа к веб-интерфейсу. Chrome и IE предложат следующие окна, в которых говорится, что сертификат не является доверенным, поскольку OSSIM использует самозаверяющий сертификат.
После принятия вышеуказанного исключения, для администратора сервера OSSIM требуется следующая информация. Заполните необходимые данные, которые запрашиваются на следующем рисунке.
Следующие окна появятся после создания учетной записи администратора. Имя пользователя — admin, а пароль — test@123.
После успешного входа в веб-интерфейс появится следующий мастер для дальнейшей настройки сервера OSSIM.
Он показывает следующие три варианта:
- Monitor Network — Мониторинг сети (настройка сети, мониторинг которой осуществляет сервер OSSIM)
- Assets Discovery — Обнаружение устройств (Автоматическое обнаружение сетевых устройств в организации)
- Collecting logs and monitoring of network nodes — Сбор логов и мониторинг сетевых узлов
Для настройки сервера OSSIM нажмите на кнопку START на рисунке выше.
После нажатия на 1-й вариант, другое окно запросит конфигурацию сети, которая показана на рисунке ниже. Мы настроили eth1 для сборщика логов и интерфейса мониторинга сервера OSSIM.
На втором этапе OSSIM выполнит автоматическое обнаружение сетевых устройств. Выберите опцию Обнаружение устройств (2), и следующие окна запросят конфигурацию. Оно поддерживает автоматическое и ручное обнаружение устройств.
Типы хостов на сервере OSSIM:
- Windows
- Linux
- Сетевое устройство
После настройки сети и обнаружения устройств следующим шагом является развертывание HIDS на устройствах Windows/Linux для обеспечения целостности файлов, мониторинга, обнаружения руткитов и сбора логов событий. Введите имя пользователя/пароль устройства для развертывания HIDS.
Выберите нужный хост из списка и нажмите кнопку Deploy для развертывания HIDS. Далее нажмите кнопку «Continue», чтобы начать процесс развертывания, который показан на рисунке. Этот процесс займет несколько минут для развертывания HIDS на выбранном хосте.
Управление логами
На следующем рисунке показана конфигурация обнаруженного хоста для управления различными логами.
Последний вариант мастера настройки — присоединиться к OTX (программа обмена угрозами AlienVault). Мы не собираемся подписываться на этот вариант. Завершите этап настройки, нажав кнопку «Finish».
Основная панель управления сервером OSSIM показана ниже.
Веб интерфейс
Веб-интерфейс сервера OSSIM состоит из следующих опций в основном графическом интерфейсе.
- Дашборд
- Анализ
- Среды
- Отчеты
- Конфигурация
Дашборд
Он показывает полное представление обо всех компонентах сервера OSSIM, таких как серьезность угрозы, уязвимости в сетевом узле, состояние развертывания, карты рисков и статистика OTX. Подменю дашборда показаны на следующем рисунке
Анализ
Анализ является очень важной составляющей любого устройства SIEM. Сервер OSSIM проанализирует хосты на основе их логов. Это меню показывает сигналы тревоги, SIEM (события безопасности), тикеты и необработанные логи. Меню анализа далее разделено на следующие подменю.
Среда
В этом меню сервера OSSIM настройки связаны с устройствами организации. Оно показывает устройства, группу и сеть, уязвимости, сетевой поток и настройки обнаружения. Подменю для всех этих настроек показаны на рисунке ниже.
Отчеты
Отчетность является важным компонентом любого сервера регистрации. Сервер OSSIM также генерирует отчеты, которые очень полезны для детального исследования любого конкретного хоста.
Конфигурация
В конфигурации meHow для установки и настройки AlienVault SIEM (OSSIM) пользователь может изменить настройку сервера OSSIM, например, изменить IP-адрес интерфейса управления, добавить дополнительный хост для мониторинга и логирования, а также добавить/удалить различные датчики или плагины. Подменю для всех сервисов показано ниже.
В этой статье мы объясняем процесс установки и настройки программного обеспечения SIEM с открытым исходным кодом, поддерживаемого AlienVault. В нашей следующей статье мы сосредоточимся на деталях всех компонентов OSSIM.
Пишите в комментарии был ли перевод полезным для вас. А всех желающих ждем на открытом вебинаре, который пройдет уже 18 декабря.
Автор: MaxRokatansky